Siber güvenlik araştırmacıları, yeni bir kötü amaçlı yazılım yükleyicisinin ayrıntılarını açıkladı. Tuhaf yükleyici Bu, E-posta SPAM kampanyaları aracılığıyla, Kasım 2024’ten bu yana bilgi çalanlardan uzaktan erişim Truva atlarına kadar bir dizi gelecek aşama yük sunmak için kullanılıyor.
İlginç yükleyici kullanılarak dağıtılan önemli kötü amaçlı yazılım ailelerinden bazıları Ajan Tesla, Asyncrat, FormBook, MassLogger, Remcos Rat, Rhadamanthys Stealer ve Snake Keylogger’dır.
Kötü amaçlı yazılımları detaylandıran IBM X-Force, saldırıların hem meşru e-posta servis sağlayıcılarından hem de kendi kendine barındırılan bir e-posta sunucusundan spam e-postaları göndermeyi içerdiğini söyledi. Bu e -postalar, DLL, şifreli bir yük ve gerçek bir yürütülebilir yük içeren kötü amaçlı bir arşiv içerir.
Güvenlik araştırmacısı Raymond Joseph Alfonso, “Oyuncu, meşru yürütülebilir dosyayı başlatmanın da kötü amaçlı DLL’yi yüklediği bir teknik olan DLL yan yükleme kullanıyor.” Dedi. Diyerek şöyle devam etti: “Bu DLL, yükler, şifreler ve son yükü hedef sürecine enjekte eder.”
Bu, kötü amaçlı yazılımları üç işlemden birine enjekte etmek için işlem oyu kullanılarak elde edilir: addInProcess32.exe, installutil.exe veya aspnet_wp.exe.
IBM’e göre DLL Loader, son birkaç aydır sınırlı kampanyalarda kullanılmıştır ve Temmuz 2025’te Tayvan ve Meksika’yı hedefleyen iki kampanya gözlemlenmiştir.
Tayvan’ı hedefleyen kampanyanın, popüler web tarayıcılarından, kextrokes’ten ve pano içeriğinden hassas bilgileri çalabilen Snake Keylogger ile enfekte etmek amacıyla New Taipei City’de bulunan bir ağ ve internet güvenlik araştırma şirketi Nusoft Tayvan’ın çalışanlarını özel olarak seçtiği söyleniyor.
Meksika ile ilgili kampanya ise rastgele olarak değerlendiriliyor, enfeksiyon zincirleri Remcos sıçan ve asycrat sunuyor.
Alfonso, “Tehdit oyuncusu, DLL yükleyici modülünü .NET dillerinde sürekli olarak yazıyor ve önceden (AOT) derlemeyi kullanıyor.” Dedi. “Bu işlem, kodu yürütmeden önce yerel makine koduna dönüştürür ve sonuçta elde edilen ikili C veya C ++ ‘da yazılmış gibi görünmesini sağlar.”
Yeni Kimlik Yardım Trendleri
Geliştirme, tehdit aktörlerinin, kötü niyetli QR kodlarını iki parçaya bölmek veya sırasıyla Gabagool ve Tycoon gibi kimlik avı kitleri aracılığıyla yayılan e -posta mesajlarında meşru olanlara gömmek gibi yeni QR kod kimlik avı (diğer adıyla quing) taktiklerini kullandığı için geliyor.
Barracuda araştırmacısı Rohit Suresh Kanase, “Kötü niyetli QR kodları çeşitli nedenlerden dolayı saldırganlar arasında popülerdir.” Dedi. Diyerek şöyle devam etti: “İnsanlar tarafından okunamazlar, bu yüzden herhangi bir kırmızı bayrak yetiştirmeyin ve genellikle e -posta filtreleri ve bağlantı tarayıcıları gibi geleneksel güvenlik önlemlerini atlayabilirler.”
“Ayrıca, alıcılar kodu taramak için genellikle bir mobil cihaza geçmesi gerektiğinden, kullanıcıları şirket güvenlik çevresinden ve korumadan uzaklaştırabilir.”
Bulgular ayrıca, kurbanların hesaplarına erişmek ve bunları kripto para dolandırıcılığı yapmak için e-postalar göndermek için bireylerden ve kuruluşlardan kimlik bilgileri ve iki faktörlü kimlik doğrulama (2FA) kodlarını almak için kullanılan bir kimlik avı kitinin ortaya çıkmasını takip ediyor.
Nviso Labs, “Bu kimlik avı kitini barındıran alan adları, önde gelen CRM ve Google, SendGrid, MailChimp ve muhtemelen diğerleri gibi toplu e -posta şirketlerinden giriş hizmetlerini taklit ediyor. “Poisonseed, kurbanları kimlik avı kitlerine yönlendiren kötü niyetli bağlantılar yerleştiren mızrak aktı e-postaları kullanıyor.”
Kitin dikkate değer bir yönü, saldırganın arka planda gerçek zamanlı olarak bir e-posta adresini doğruladığı hassas validasyonlu kimlik avı olarak bilinen bir tekniğin kullanılmasıdır. Çekler geçtikten sonra, meşru çevrimiçi platformu taklit eden bir giriş formu görünür, bu da tehdit aktörlerinin gönderilen kimlik bilgilerini yakalamasına ve ardından bunları hizmete aktarmasına izin verir.